Un malware a infectat 2,3 milioane de telefoane și fură conturile WhatsApp
Un nou malware pentru Android, numit NoVoice, a infectat peste 2,3 milioane de telefoane la nivel global. Virusul, distribuit prin aplicații din magazinul Google Play, este conceput pentru a fura datele conturilor de WhatsApp și a permite clonarea acestora de către atacatori. Alerta a fost lansată de experții în securitate cibernetică de la McAfee, care au analizat în detaliu operațiunea.
Amenințarea a fost ascunsă în peste 50 de aplicații aparent inofensive.
Potrivit raportului publicat de McAfee, deși operațiunea a fost descoperită, cercetătorii nu au reușit să o lege de un anumit grup de hackeri sau de un actor statal.
Cum s-au infectat milioane de utilizatori
Atacatorii au folosit o strategie clasică, dar eficientă, pentru a distribui virusul la scară largă. Mai exact, malware-ul a fost integrat în programe de curățare a memoriei, galerii de imagini, editoare foto și diverse jocuri. Toate aceste aplicații, odată descărcate din Google Play, ofereau funcționalitatea pe care o promiteau, funcționând exact cum se așteptau utilizatorii.
În plus, la instalare, nu solicitau permisiuni suspecte care ar fi putut ridica semne de întrebare. Acest camuflaj perfect a facilitat descărcarea lor în masă, fără ca victimele să bănuiască pericolul real ascuns în cod.
Un mecanism de atac complex și greu de detectat
Odată ce una dintre aplicațiile infectate ajungea pe un telefon, NoVoice începea un proces în mai mulți pași pentru a prelua controlul total. Primul obiectiv era obținerea accesului la nivel de administrator, cunoscut ca „root access”. Pentru a face asta, malware-ul exploata o serie de vulnerabilități mai vechi, dar încă prezente pe multe dispozitive care nu rulează cea mai recentă versiune de Android. Cercetătorii de la McAfee au detectat 22 de astfel de breșe folosite de NoVoice, inclusiv erori de kernel și vulnerabilități ale driverului pentru procesorul grafic Mali.
Sofisticarea atacului este demonstrată și de modul în care codul malițios era ascuns. Componentele periculoase erau disimulate în clase legitime ale kit-ului de dezvoltare (SDK) de la Facebook, folosit de multe aplicații. Mai mult, o parte esențială a virusului, numită „payload”, era criptată și ascunsă în interiorul unor fișiere de imagine de tip PNG, folosind o tehnică numită steganografie. Această metodă face ca fișierul infectat să pară o simplă fotografie.
Odată activat, codul era extras direct în memoria volatilă a sistemului. Imediat după, toate fișierele intermediare folosite în procesul de extracție erau șterse, pentru a nu lăsa nicio urmă care ar putea fi analizată ulterior de un antivirus sau de un expert.
Dar malware-ul era și extrem de persistent.
Chiar și o resetare completă la setările din fabrică, o măsură extremă pe care o iau unii utilizatori pentru a curăța un telefon, nu era suficientă pentru a elimina NoVoice. Atacatorii au implementat mai multe mecanisme de persistență. Virusul folosea scripturi de recuperare, înlocuia handlerul de erori al sistemului și își stoca fișierele în partiția de sistem, o zonă a memoriei care în mod normal nu este afectată de o resetare generală. Astfel, obținea controlul absolut și permanent asupra dispozitivului.
WhatsApp, ținta finală a atacatorilor
După ce prelua controlul, NoVoice injecta cod malițios în toate aplicațiile de pe dispozitiv, monitorizând activitatea utilizatorului. Însă, ținta principală a operațiunii era aplicația WhatsApp. Malware-ul era programat să caute și să extragă informații sensibile legate de contul de WhatsApp.
Acesta colecta bazele de date criptate în care sunt stocate mesajele, cheile de protocol Signal folosite pentru securizarea conversațiilor și alte detalii ale contului. Cu aceste date în mână, atacatorii puteau clona complet sesiunea de WhatsApp a victimei pe un alt dispozitiv. Acest lucru le oferea acces neîngrădit la toate conversațiile trecute și viitoare, la lista de contacte și la fișierele media partajate.
În urma notificării primite de la McAfee, Google a acționat și a eliminat cele peste 50 de aplicații infectate din magazinul Play. totusi, pericolul nu a trecut complet. Utilizatorii care au apucat să instaleze una dintre aceste aplicații trebuie să considere că telefoanele lor sunt compromise și datele personale sunt în pericol.
Potrivit experților în securitate, actualizarea sistemului de operare la cele mai recente versiuni de Android atenuează această amenințare, deoarece noile versiuni corectează vulnerabilitățile exploatate de NoVoice.
